Nummer: 8

FASTLÆGGELSE AF ROLLEFORDELING, NÅR ERHVERVSLIVET ER LEVERANDØR TIL DET OFFENTLIGE

I mange af de samarbejder, hvor private aktører er leverandører til det offentlige, er der uklarhed om, hvorvidt leverandøren har rolle som hhv. dataansvarlig eller databehandler, eftersom vurderingen varierer på tværs af kommuner og regioner. Regelforum anbefaler derfor, at rollefordelingen i forbindelse med udveksling af personoplysninger, når erhvervslivet er leverandør til det offentlige, skal fremgå af lovgivningen. 

Dato:
22. juni 2020
Type af anbefaling:
National lovgivning
Tema:
GDPR
Ansvarlig ministerium:
Justitsministeriet
Status på anbefaling:
Følges delvist

Offentlig-privat samarbejde, hvor private virksomheder er leverandører til det offentlige, indbefatter ofte udveksling af personoplysninger. Efter databeskyttelsesreglerne kan de samarbejdende enheder indtage forskellige roller i forhold til behandlingen af personoplysninger bl.a. afhængig af, hvilken enhed, der fastsætter formålet med databehandlingen. 
 
I mange af de samarbejder, hvor private aktører er leverandører til det offentlige giver rollefordelingen ofte anledning til tvivl, da der i det offentlige er forskellige vurderinger af, om leverandøren indtager en rolle som databehandler eller dataansvarlig. Desuden oplever private aktører, at vurderingen af samme type behandlingsaktivitet er forskellige fx fra kommune til kommune eller i regionerne. 
 
Som eksempel på ovenstående kan bl.a. nævnes: udlicitering af genoptræningsopgaver efter endt hospitalsophold, hvor den private leverandør for at kunne levere den rette ydelse er nødt til at behandle en række følsomme personoplysninger, som indsamles fra borgeren, og hvor både formål med indsamling af personoplysningerne samt i hvilke sammenhænge oplysninger skal bruges fastlægges af leverandøren. I en sådan situation vil leverandøren være dataansvarlig, men i mange konstruktioner er der allerede fra tidspunktet, hvor genoptræningsopgaven kommer i udbud, besluttet, at leverandøren skal være databehandler. Selvom det ikke efter databeskyttelsesreglerne er muligt for den private leverandør at være databehandler og samtidig opfylde kravene i aftale det offentlige, så ses denne konstruktion ofte. 
 
Den i mange tilfælde manglende afklaring af, om den private leverandør er dataansvarlig eller databehandler for de personoplysninger, som er nødvendige for leverandøren at behandle for at kunne levere i henhold til aftalen samt de forskellige vurderinger af leverandørens rolle alt afhængig af, hvilken kommune mv., der leveres til, medfører unødigt stort ressourceforbrug. 
 

Anbefaling

Regelforum anbefaler, at regeringen i samarbejde med relevante interessenter undersøger, om de private aktørers rolle i forhold til behandling af personoplysninger, der er nødvendige for at kunne levere den pågældende ydelse, skrives ind i lovgivningen på området. 
 
Hvis dette er muligt inden for rammerne af GDPR, vil det både lette administrative og økonomiske byrder for det offentlige og erhvervslivet. Anbefalingen må forventes at medføre, at Datatilsynet skal inddrages mere i det lovforberedende arbejde, hvilket bør tilgodeses gennem tildeling af øgede ressourcer til Datatilsynet. 
 
 

Erfaringer fra udlandet

Regelforum anbefaler, at det undersøges, hvordan andre lande i EU håndterer problemstillingen. 

Potentiale

En klar beskrivelse af, om den private leverandør er databehandler eller dataansvarlig i forhold til behandling af personoplysninger, der er nødvendige for at levere den aftalte ydelse til det offentlige, vil sikre at personoplysningerne behandles ens på tværs af regioner og kommuner i forhold til ens opgaver. Herudover betyder det, at erhvervslivet skal bruge færre ressourcer på afklaring. 

Svar til Regelforum

Justitsministeriet har forståelse for de omtalte problemstillinger og de uhensigtsmæssigheder, det f.eks. medfører, at vurderingen af samme behandlingsaktivitet er forskellig fra kommune til kommune. Det vil efter Justitsministeriets vurdering være vanskeligt at lovgive udtømmende om, hvorvidt en privat leverandør i forbindelse med en levering af en ydelse til det offentlige indtager rollen som dataansvarlig eller databehandler. Dette skyldes navnlig omfanget og forskelligheden af aftaler, som det må antages, at der indgås mellem offentlige og private aktører om levering af ydelser, hvor der som led i ydelsen ligeledes sker en behandling af personoplysninger.

Det må desuden antages, at en sådan regulering vil skulle være meget detaljeret, før lovgivningen vil kunne opfylde et sådant behov, som anbefalingen omtaler, hvor hverken den offentlige eller private aktør af egen drift vil skulle tage stilling til spørgsmålet om, hvorvidt den ene eller anden indtager rollen som dataansvarlig eller databehandler, men derimod vil kunne læse svaret af lovgivningen. En sådan detaljeret og udtømmende lovgivning vil efter ministeriets opfattelse desuden være uhensigtsmæssig, idet det bl.a. må antages, at der meget ofte kan være behov for at gennemføre lovændringer for eksempelvis at ændre i eksisterende aftalekonstruktioner og/eller tilføje nye aftalekonstruktioner.

Datatilsynet har oplyst, at tilsynet vil opdatere sin vejledning om dataansvarlig og databehandler bl.a. i lyset af anbefalingen. Den opdaterede vejledning forventes at kunne offentliggøres i 2. kvartal af 2021.

Regeringens afrapportering af anbefalingen

Initiativet er gennemført med en mindre forsinkelse. Datatilsynet har den 17. november 2021 på hjemmesiden offentliggjort en vejledende tekst om rollefordelingen, når private er leverandører til det offentlige.

Forsinkelsen skyldes, at Datatilsynet bl.a. efter opfordring fra interessenterne besluttede i væsentligt omfang at basere teksten på praksisnære eksempler, som de enkelte interessenter er fremkommet med.